Sicherheit
Smart TV als Hacker-Ziel: Wie sicher sind aktuelle Fernseher?
Smart TVs sind intelligent und leistungsfähig wie ein PC. Spektakuläre Hacks haben jedoch gezeigt, dass die TV-Hersteller Sicherheit und Datenschutz oft mangelhaft handhaben. Sind Anwender mit einem Multimedia-Stick besser beraten?
Smart TVs von Samsung belauschen ihre Besitzer, zeichnen jedes Wort auf und senden es an einen "Drittanbieter". So steht es in den Datenschutzbestimmungen. Das gelte nur für Suchanfragen per Sprachbefehl, ruderte die Firma sofort zurück - einen schalen Beigeschmack hinterlässt es dennoch: Eine Mikrofon im Wohnzimmer, das quasi an einen Internet-PC angeschlossen ist, zeichnet jedes Wort auf auf und schickt es gegebenenfalls - irgendwohin. Das spricht nicht gerade für optimale Sicherheit.
Aber nicht nur der Datenschutz bereitet bei PC-gestützen Fernsehern Kopfzerbrechen, auch die Anfälligkeit für Hackerattacken. Das Konzept der Smart TVs krankt an der unterschiedlichen Wahrnehmung von Herstellern und Kunden. Hersteller betrachten den Softwarelebenszyklus des Smart TVs ähnlich wie den von Tablets oder Mobiltelefonen: Ein Gerät ist etwa ein Jahr im Handel und bekommt dann weitere ein bis zwei Jahre lang noch Updates.
Angesichts der enormen Ähnlichkeiten bei den verwendeten Prozessoren, Grafikchips, Codecs und im Resultat der genutzten Betriebssysteme ist das eine technisch durchaus nachvollziehbare Entscheidung. Dem steht jedoch die Wahrnehmung des Kunden entgegen, der einen Fernseher meist mit dem Anspruch erwirbt, ihn eher drei bis sechs Jahre zu nutzen.
Besonders deutlich gemacht haben die großen Hersteller wie Samsung, LG, Sony und Panasonic auf der CES 2015, wie wichtig es ihnen ist, alte Zöpfe abzuschneiden: Nach einer langen Durststrecke ohne aktuelles Smart-TV-Betriebssystem ersetzt Google das zuletzt auf Android 4.2 basierte Google TV durch Android TV (auf Android 5.0). LG ersetzt WebOS 1.3 durch 2.0. Samsung beerdigt das Linux basierte eigene SmartTV Systeme (nach unserer Kenntnis basierte dies auf Bada) durch Tizen. Trotz prinzipieller Update-Fähigkeit der meisten Geräte weisen Hersteller darauf hin, dass es keine Updates geben wird.
Smart-TV-Sicherheit: Angriffe aus dem lokalen Netz
Smart TVs können ähnlich DSL-Routern ein attraktives Ziel für Angreifer sein, weil sie ständig an sind, ständig mit dem Internet verbunden sein können und Schadsoftware weit länger unentdeckt bleiben kann als auf einem PC, wo der Virenscanner Alarm schlägt. Das erlaubt den Missbrauch von Smart TVs beispielsweise für DDoS-Angriffe ähnlich Lizard Stresser. Fast durchgehend nutzten die Geräte Webkit als Rendering Engine und zwar nicht nur zur Darstellung von Webseiten, sondern auch als Plattform von Apps.
Und gerade für Webkit gibt es gut dokumentierte Lücken. Bei Stichproben mit dem Sicherheitsscanner OpenVAS auf Samsung Smart TVs von Ende 2012 und 2013 fanden wir zudem eine Version der OpenSSL-Bibliothek, die es erlaubte, gefälschte Zertifikate für HTTPS-Verbindungen zu nutzen. Dies bedeutet, dass jeder halbwegs begabte Webprogrammierer die oft enthaltene Skype-App so modifizieren kann, dass ein Zugriff auf Mikrofon und Kamera möglich ist. Geht der Schadsoftware-Programmierer einen Schritt weiter und nutzt Webkit-Lücken, steht ihm das gesamte System offen - zumindest bei Samsung Smart TVs, wo alle Anwendungen als root laufen.
Smart-TV-Sicherheit: Selbst prüfen?
Eine Prüfung des eigenen Smart TVs ist leider nur schwer möglich: Praktisch kein Hersteller von Sicherheitssuiten für den Hausgebrauch enthält Schwachstellenscanner, mit denen sich eingebettete Geräte im Haushalt wie Smart TVs, DSL-Router oder Drucker untersuchen lassen. Es bleibt demnach nur der Griff zu Profiwerkzeugen wie OpenVAS, der beispielsweise Teil der Live-DVD LessLinux Search and Rescue ist.
Ein weiterer Ansatzpunkt ist das Alter der auf dem Smart TV installierten Firmware beziehungsweise der Zeitpunkt des letzten Firmwareupdates. Zeitnahe Aktualisierungen sind aufgrund des monolithischen Charakters von Smart TV Software nicht zu erwarten. Fernseher, die im Abstand von drei bis sechs Monaten mit frischer Firmware versorgt werden, gelten bereits als sehr gut gepflegt. Liegt das letzte Firmware-Update dagegen über ein Jahr zurück, sollten Sie Ihr Gerät als abgekündigt betrachten und die Smart TV Funktionalität stilllegen.
Möglichkeiten, die Internetverbindung abzuschalten gibt es einige - am einfachsten dürfte es sein, in den Netzwerkeinstellungen sämtliche bekannten WLANs zu löschen und gegebenenfalls vorhandene drahtgebundene Verbindungen zu trennen - Paranoiker kleben Kamera und Mikrofon ab.
Smart-TV-Sicherheit: Abhilfe Settop Box
Zugegeben, es mag schmerzen, den smarten Fernseher mit wenigen Handgriffen, zum Dumb TV zu degradieren, aber gerade bei Geräten mit vollem Zugriff auf die Privatsphäre von Wohn- und Schlafzimmer sollte diese Maßnahme nachvollziehbar sein. Ist ein Ersatz für die smarten Funktionen gewünscht, springen die Settop-Boxen und -Sticks verschiedener Hersteller in die Bresche: Googles 35 Euro billige Chromecast ist der einfachste Zuspieler, wenn Videos von Youtube, Netflix, Google Play und vieles anderes auf dem Fernseher abgespielt werden sollen - hier muss allerdings als Fernbedienung immer ein Smartphone oder Tablet zur Hand sein.
Der etwas teurere Nexus Player rüstet eine fast komplette Android TV Oberfläche nach und funktioniert autark. Weiter Systeme gibt es von Amazons (Fire TV) und Apple TV. Und auch Open Source Fraktion hat etwas zu bieten: OpenELEC bringt das Kodi Entertainment Center auf dem Raspberry Pi - mit vielen Erweiterungsmöglichkeiten, beispielsweise als Videorecorder. Doch einen Nachteil der Settop-Lösung wollen wir nicht verschweigen: Die Möglichkeit, mal schnell im Web zu surfen, während Werbung läuft, ist wegen des fehlenden Fernsehbild- Overlays nicht mehr so komfortabel möglich. Einschränkungen gibt es auch bei der Aufnahmefunktion: Ohne HBBTV können viele Fernseher die Aufnahmen nur nach Sender und Uhrzeit aber nicht nach Sendungstitel benennen.
Smart-TV-Sicherheit: Fazit
Zwischen 2010 und 2014 gekaufte Smart TVs können heute praktisch als Totalverlust verbucht werden. Bei ab der CES 2015 vorgestellten Geräten spricht einiges dafür, dass sich die Update-Situation verbessert. Doch selbst wenn Google das Smart-TV-Android oft aktualisiert, besteht keine Garantie, dass die TV-Hersteller dieses anpassen und ausliefern.
